信息安全技術網(wǎng)絡安全等級保護測評要求第部分安全通用要求編制說明

1、信息安全技術 網(wǎng)絡安全等級保護測評要求第 1 部分：安全通用要求編制說明1 概述1.1 任務來源信息安全技術 信息系統(tǒng)安全等級保護測評要求 于2012年成為國家標準， 標準號 為 GB/T 28448-2012 ，被廣泛應用于各個行業(yè)的開展等級保護對象安全等級保護的檢測評 估工作。但是隨著信息技術的發(fā)展，尤其云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和大數(shù)據(jù)等新技術 的發(fā)展，該標準在時效性、易用性、可操作性上還需進一步提高， 2013 年公安部第三研究 所聯(lián)合中國電子技術標準化研究院和北京神州綠盟科技有限公司向安標委申請對 GB/T 28448-2012 進行修訂。根據(jù)全國信息安全標準化技術委員會 2013

2、年下達的國家標準制修訂計劃，國家標準 信息安全技術 信息系統(tǒng)安全等級保護測評要求 修訂任務由公安部第三研究所負責主辦， 項目編號為 2013bzxd-WG5-006。1.2 制定本標準的目的和意義信息安全等級保護管理辦法 （公通字 200743 號）明確指出信息系統(tǒng)運營、 使用單 位應當接受公安機關、國家指定的專門部門的安全監(jiān)督、檢查、指導，而且等級測評的技 術測評報告是其檢查內容之一。這就要求等級測評過程規(guī)范、測評結論準確、公正及可重 現(xiàn)。信息安全技術信息系統(tǒng)安全等級保護基本要求（GB/T22239-2008）（簡稱基本要 求）和信息安全技術 信息系統(tǒng)安全等級保護測評要求（GB/T28448

3、-2012）（簡稱測評要求）等標準對近幾年來全國信息安全等級保護工作的推動起到了重要的作用伴隨著 IT 技術的發(fā)展，基本要求中的一些內容需要結合我國信息安全等級保護工 作的特點，結合信息技術發(fā)展尤其是信息安全技術發(fā)展的特點， 比如無線網(wǎng)絡的大量使用， 數(shù)據(jù)大集中、云計算等應用方式的普及等，需要針對各等級系統(tǒng)應當對抗的安全威脅和應 具有的恢復能力，提出新的各等級的安全保護目標。作為基本要求的姊妹標準， 測評要求需要同步修訂，依據(jù)基本要求的更新 內容對應修訂相關的單元測評章節(jié)。此外，測評要求還需要吸收近年來的測評實踐，更新整體測評方法和測評結論形成 方法。1.3 與其他標準的關系圖1 等級保護標準

4、相互關系從上圖可以看出，在等級保護對象實施安全保護過程中，首先利用信息安全技術 信 息系統(tǒng)安全等級保護定級指南 （GB/T 22240-2008）（簡稱“定級指南”）確定等級保護 對象的安全保護等級，然后根據(jù)信息安全技術 網(wǎng)絡安全等級保護基本要求系列標準選 擇安全控制措施，隨后利用信息安全技術 信息系統(tǒng)安全等級保護實施指南 （簡稱“實 施指南”）或其他相關標準確定其特殊安全需求，進行等級保護對象的安全規(guī)劃和建設工作，此后利用信息安全技術 網(wǎng)絡安全等級保護測評過程指南（GB/T 28449-20XX）（簡 稱“測評過程指南 ”）來規(guī)范測評過程和各項活動，利用信息安全技術 網(wǎng)絡安全等級 保護測評要

5、求系列標準來判斷安全控制措施的有效性。同時，等級保護整個實施過程又 是由實施指南來指導的。在等級保護的相關標準中， 測評要求系列標準是基本要求系列標準的姊妹篇，測評要求針對基本要求中各要求項，提供了具體測評方法、步驟和判斷依據(jù)等，是為了確認等級保護對象是否按照基本要求中的不同等級的技術和管理要求實施的， 而測評過程指南 則是規(guī)定了開展這些測評活動的基本過程， 包括過程、任務及產品等， 以指導用戶對測評要求的正確使用。1.4 標準組成為了適應移動互聯(lián)、虛擬計算、云計算、物聯(lián)網(wǎng)、工控系統(tǒng)和大數(shù)據(jù)等新技術、新應 用情況下網(wǎng)絡安全等級保護測評工作的開展，需對 GB/T 28448-2012 進行修訂，

6、修訂的思 路和方法是針對移動互聯(lián)、虛擬計算、云計算、物聯(lián)網(wǎng)、工控系統(tǒng)和大數(shù)據(jù)等新技術、新 應用領域提出擴展的測評要求。對 GB/T 28448-2012 的修訂完成后，測評要求標準成為由多個部分組成的系列標準， 目前主要有六個部分：GB/T 28448.1-20XX信息安全技術網(wǎng)絡安全等級保護測評要求1 部分：安全通用要求；GB/T 28448.2-20XX信息安全技術網(wǎng)絡安全等級保護測評要求2 部分：云計算安全擴展要求；GB/T 28448.3-20XX信息安全技術網(wǎng)絡安全等級保護測評要求3 部分：移動互聯(lián)安全擴展要求；GB/T 28448.4-20XX信息安全技術網(wǎng)絡安全等級保護測評要求4

7、 部分：物聯(lián)網(wǎng)安全擴展要求；GB/T 28448.5-20XX信息安全技術網(wǎng)絡安全等級保護測評要求5 部分：工控控制安全擴展要求；GB/T 28448.6-20XX 信息安全技術 網(wǎng)絡安全等級保護測評要求 第 6 部分：大數(shù)據(jù)安全擴展測評要求。2 編制過程1) 2013年 12月，公安部第三研究所、中國電子技術標準化研究院和北京神州綠盟科 技有限公司成立了信息安全技術 信息安全等級保護測評要求標準編制組。2) 2014年1月至 5月，標準編制組按照計劃調研了國際和國內無線接入、 虛擬計算、 云計算平臺、大數(shù)據(jù)應用和工控系統(tǒng)應用等新技術、新應用的情況，分析并總結了新技術 和新應用中的安全關注點和

8、要素； 同時標準編制組調研了與 信息安全技術 信息系統(tǒng)安全 等級保護測評要求 (GB/T 28448-2012)相關的其他國家標準和行業(yè)標準，分析了信息安 全技術 信息系統(tǒng)安全等級保護基本要求 (GB/T 22239-2008) 的修訂可能對其產生的影響。3) 2014 年 5 月，為適應無線移動接入、虛擬計算環(huán)境、云計算平臺應用、大數(shù)據(jù)應 用和工控系統(tǒng)應用等新技術、新應用的情況下等級保護工作開展，公安部十一局牽頭會同 有關部門組織 2014 年新領域的國家標準立項，根據(jù)新標準立項結果確定基本要求修訂 思路發(fā)生重大變化，為適應基本要求修訂思路的變化在信息安全技術 信息系統(tǒng)安全 等級保護測評要求

9、 ( GB/T 28448-2012)的基礎上，針對無線移動接入、虛擬計算環(huán)境、 云計算平臺應用、大數(shù)據(jù)應用和工控系統(tǒng)應用等新領域形成“測評要求”的分冊，如信 息安全技術 網(wǎng)絡安全等級保護測評要求 第 2 部分： 云計算安全擴展要求 、信息安全技 術 網(wǎng)絡安全等級保護測評要求 第 3 部分： 移動互聯(lián)安全擴展要求 、信息安全技術 網(wǎng)絡 安全等級保護測評要求 第 4 部分：物聯(lián)網(wǎng)安全擴展要求 、信息安全技術 網(wǎng)絡安全等級 保護測評要求 第 5 部分：工控控制安全擴展要求和信息安全技術 網(wǎng)絡安全等級保護 測評要求 第6部分：大數(shù)據(jù)安全擴展要求。構成GB/T 28448.1、GB/T 28448.2

10、、等測評要求系列標準，上述思路的變化直接影響了國家標準 GB/T 28448-2012 的修訂思路和內容5) 2014年7月至 2015年5月，標準編制組根據(jù)新修訂基本要求草案第一稿編制 了 信息安全技術 網(wǎng)絡安全等級保護測評要求 第 1 部分：安全通用要求草案第一稿。6) 2015年 5月至 2015年 12月，標準編制組根據(jù)新修訂基本要求草案第三稿編 制了信息安全技術 網(wǎng)絡安全等級保護測評要求 第 1 部分：安全通用要求草案第二稿。7) 2016年5月至 2016年6月，標準編制組根據(jù)新修訂基本要求草案第五稿編制 了信息安全技術 網(wǎng)絡安全等級保護測評要求 第 1 部分：安全通用要求草案第三

11、稿。8) 2016年 5月 23日，在評估中心針對信息安全技術 網(wǎng)絡安全等級保護測評要求 第 1 部分：安全通用要求草案第三稿進行行業(yè)內專家評審會。9) 2016年 7 月，標準編制組根據(jù)新修訂基本要求草案第六稿和第七稿編制了信 息安全技術 網(wǎng)絡安全等級保護測評要求 第 1 部分：安全通用要求草案第四稿。9)2016年 7月-8 月，將信息安全技術 網(wǎng)絡安全等級保護測評要求 第 1部分：安 全通用要求草案第四稿發(fā)送11家等級測評機構和WG工作組成員單位征求意見。10) 2016年8月12日，在北京瑞安賓館第五會議室召開 WG工作組部分專家評審會， 針對信息安全技術 網(wǎng)絡安全等級保護測評要求 第

12、 1 部分：安全通用要求草案第四稿 征求意見。11) 2016年8月25日，在北京瑞安賓館第二會議室參加 WG工作組在研標準推進會， 在會上征求所有WG工作組成員單位意見。12) 根據(jù)專家意見已經修訂完成， 形成信息安全技術 網(wǎng)絡安全等級保護測評要求 第1 部分：安全通用要求草案第五稿。13）根據(jù)測評機構反饋意見修訂完成，形成信息安全技術網(wǎng)絡安全等級保護測評要 求 第 1 部分：安全通用要求草案第六稿。14）前正在推進測評要求后續(xù)專標準修訂工作。3 標準編制的技術路線安全等級保護測評（以下簡稱等級測評）的概念性描述框架由兩部分構成：單項測評 和整體測評，圖 1 給出了等級測評框架。圖1 等級測

13、評描述框架針對基本要求各安全要求項的測評稱為單項測評，單項測評是等級測評工作的基本活 動，支持測評結果的可重復性和可再現(xiàn)性。單項測評是由測評指標、測評對象、測評實施 和單元判定構成。本部分的測評指標包括信息安全技術 網(wǎng)絡安全等級保護基本要求 第 1 部分：安全 通用要求第四級目錄下的要求項。測評對象是指測評實施的對象，即測評過程中涉及到的制度文檔、各類設備及其安全 配置和相關人員等。對于框架來說，每一個被測安全要求項（不同級別）均有一組與之相 關的預先定義的測評對象（如制度文檔、各類設備設施及相關人員等） 。制度文檔是指針對等級保護對象所制定的相關聯(lián)的文件（如：政策、程序、計劃、系 統(tǒng)安全需求

14、、功能規(guī)格及建筑設計） 。各類設備是指安裝在等級保護對象之內或邊界，能起 到特定保護作用的相關部件（如：硬件、軟件、固件或物理設施） 。相關人員或部門，是指 應用上述制度、設備及安全配置的人。測評實施是一組針對特定測評對象，采用相關測評方法，遵從一定的測評規(guī)程所形成 的，用于測評人員使用的確定該要求項有效性的程序化陳述。測評實施主要由測評方法和 測評規(guī)程構成。其中測評方法包括：訪談、檢查和測試（說明見術語） ，測評人員通過這些 方法試圖獲取證據(jù)。上述的評估方法都由一組相關屬性來規(guī)范測評方法的測評力度。這些 屬性是：廣度（覆蓋面）和深度。對于每一種測評方法都標識 （ 定義）了唯一屬性，深度特 性

15、適用于訪談和檢查，而覆蓋面特性則適用于全部三種測評方法。上述三種測評方法（訪 談、檢查和測評）的測評結果都用以對安全控制的有效性進行評估。測評規(guī)程是各類測評 方法操作使用的過程、步驟，測評規(guī)程實施完成后，可以獲得相應的證據(jù)。結果判定描述測評人員執(zhí)行測評實施并產生各種測評輸出數(shù)據(jù)后，如何依據(jù)這些測評 輸出數(shù)據(jù)來判定被測系統(tǒng)是否滿足測評指標要求的原則和方法。通過測評實施所獲得的所 有證據(jù)都滿足要求則為符合，不全滿足要求則該單項要求不符合。整體測評是在單項測評基礎上，分別從安全控制點測評，安全控制點間和層面間三個 角度分別進行測評。4 標準總體框架本標準共分為 11 章，4個附錄，每章內容如下：第

16、1、 2、3 章，為標準的常規(guī)性描述，包括范圍、規(guī)范性引用文件、術語和定義；第 4 章，概要描述了安全等級保護測評方法及單項測評和整體測評組成；第 5、 6、7、8 章，分別描述了第一、二、三、四級測評要求，每級分別遵從基本要 求的框架從安全技術和安全管理兩大方面描述如何實施測評工作，其中技術方面分別從 物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全四個層面展開；而 管理方面則分別從安全策略和管理制度、安全管理機構和人員、安全建設管理和安全系統(tǒng) 運維管理四個方面展開，與基本要求形成了相互對照、和諧統(tǒng)一的標準體系第 9 章，略掉第五級的測評要求。第 10 章，描述了系統(tǒng)整體測評方

17、法。在單項測評的基礎上，從系統(tǒng)整體的角度綜合考 慮如何進行系統(tǒng)性的測評。分別從安全控制點、安全控制點間及層面間測評三方面進行描 述，分析了在進行系統(tǒng)測評時所需考慮的方向和指導思想。第 11 章，概要說明了給出測評結論的方法， 測評結論主要應該包括哪些方面的內容等。附錄A,描述了各種測評方法的測評強度，并具體描述針對不同等級保護對象的測評強 度。附錄B,描述了測評指標編碼規(guī)則及專用縮略語。附錄C,描述了設計要求測評驗證內容。附錄D,為基本要求的要求項和測評要求的測評單元索引表。5 主要章節(jié)的編寫方法第 5、6、7、8 章分別描述了第一級、第二級、第三級和第四級所有測評要求的內容,在章節(jié)上分別對應

18、國標 GB/T22239.1-2XXX的第5章到第8章。在國標 GB/T22239.1-20XX第 5 章到第 8 章中,各章的二級目錄都分為安全技術和安全管理兩部分,三級目錄從安全 層面（如物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全等）進行劃分和描述,四級 目錄按照安全控制點進行劃分和描述 （如設備和計算安全層面下分為身份鑒別、 訪問控制、 安全審計等）,第五級目錄是每一個安全控制點下面包括的具體安全要求項。 具體編制案例 如下案例：7 第三級測評要求7.1 安全技術單項測評7.1.1 物理和環(huán)境安全物理位置的選擇測評單元( L3-PES1-01)a) 測評指標本條款引用機房場地應選擇在具有防震、防風和防雨等能力的建筑內；自)b) 測評對象記錄類文檔、機房。c) 測評實施1) 應核查所在建筑物是否具有建筑物抗震設防審批文檔；2) 應核查機房是否不存在雨水滲漏；3) 應核查門窗是否不存在因風導致的塵土嚴重；4) 應核查屋頂、墻體、門窗和地面等是否不存在破損開裂。d) 單元判定 如果 1)-4 )